引用这篇维基文章 -
另一种方法,称为密钥强化,使用随机盐扩展密钥,但随后(与密钥拉伸不同)安全地删除盐。这迫使攻击者和合法用户都对盐值进行暴力搜索。
我对关键拉伸的作用感到满意,但我对如何实现关键强化感到困惑。如果删除了盐,如何再次验证密钥?
问问题
806 次
2 回答
4
通过使用足够短的盐,可以尝试所有可能性,直到找到与已知密钥结合时解密消息的可能性。因此“暴力搜索盐值”。
于 2012-08-28T04:50:40.677 回答
4
wiki 文章中引用的关于密钥强化方案的论文可在此处获得。
似乎他们正在将一个较大的盐分成两个较小的盐,一个与普通盐分没有什么不同的公共盐,以及一个为了使密码验证更慢而被丢弃的私有盐。这个想法是所有密码验证都会变慢,因为私有盐必须始终是暴力破解的,但是当提供正确的密码时,这将可以忽略不计。但是,添加的处理将减慢密码的暴力破解。
于 2012-08-28T04:55:24.283 回答